使用热点门户指导用户禁用MAC地址随机化

简介

随着Android 10和iOS 14的发布，引入了MAC地址随机化来尝试防止用户根据其无线MAC地址被跟踪。在加入热点网络时，这有利于保护隐私，但会使企业环境中的设备跟踪变得困难，尤其是当尝试分析这些设备或使用移动设备管理器以确保设备在获取网络访问之前符合组织的安全策略时。

对于分析和MDM服务，可指示最终用户在获取预期的网络访问之前禁用设备上的MAC随机化。这可以通过将用户重定向到修改的热点页面来实现，该页面提供在设备使用随机MAC地址连接到网络时禁用MAC随机化的说明。禁用MAC随机化后，用户可以正常连接。

配置

1. 导航到Administration > Identity Management > Groups，选择Endpoint Identity Groups，然后选择Add以创建名为 Random_MAC端点
2. 导航到工作中心(Work Centers)>访客接入(Guest Access)>门户和组件(Portals & Components)，选择访客门户(Guest portals)，然后选择创建(Create)以创建新的热点访客门户，名为Random MAC Detected（检测到随机MAC）
3. 在Portal Settings下，为Endpoint identity组选择上面创建的终端组
4. 选择门户页面自定义
5. 在Text Elements下，将Banner title更改为Random MAC detected
6. 选择可接受使用策略
7. 将Content Title更改为：您的设备使用随机MAC地址
8. 将以下文本添加到说明文本页面：

   请更改设备上的网络设置，以使用全局MAC地址而不是随机MAC地址来获取网络访问权限。

   有关在设备上禁用每个SSID的MAC随机化或全局化的详细信息，也可提供进一步的说明。
9. 在AUP页面上添加以下可选内容以删除热点门户元素(确保在粘贴脚本之前和之后选择Toggle HTML Source按钮):

10. 此页面上的其他设置可以更改，以提供有关如何修改设备上的MAC随机设置的说明，完成后请选择Save
11. 创建名为Random_MAC的授权配置文件，以重定向到上面创建的页面
12. 创建授权策略规则以使用Random_MAC以及匹配任何SSID的任何随机MAC地址的条件，以拒绝随机MAC地址。此处，regex字符串匹配条件(MATCHES ^.[26AEae].*)用于标识随机MAC地址，该地址利用Android和iOS设备都遵循的MAC地址的本地有效位

设备特定说明

以下是一些常见设备可以指导用户完成的步骤。特定设备的供应商可以在其设备上禁用MAC随机化的步骤稍有不同。

安卓：

1. 打开设置应用。
2. 选择Network and Internet。
3. 选择WiFi。
4. 确保您已连接到公司SSID。
5. 轻按当前WIFI连接旁边的齿轮图标。
6. 选择Advanced。
7. 选择Privacy。
8. 选择使用设备MAC。

苹果：

Apple发布了一篇文章，其中介绍了如何在他们的设备上禁用MAC随机化：

https://support.apple.com/en-us/HT211227

Windows 窗口版本:

在撰写本文时，在Windows上默认禁用随机MAC地址，但用户可以选择将其打开，以下是启用后禁用该功能的说明：

• 为所有网络禁用“使用随机硬件地址”：

  1. 选择Start按钮，然后选择Settings > Network & Internet > Wi-Fi。

  2. 在Use random hardware addresses下将滑块设置为“Off”。

• 为特定网络禁用“使用随机硬件地址”：

  1. 选择“开始”按钮，然后选择设置> 网络和Internet > Wi-Fi > 管理已知网络。

  2. 选择一个网络，然后选择属性。

  3. 在Use random hardware addresses for this network下，使用下拉列表选择“Off”。